PGTI-13 Declaración de Aplicabilidad V3.0

Código formato: PGD-02-02
Versión: 13.0
DECLARACIÓN DE APLICABILIDAD
Código documento: PGTI-13
Versión: 3.0
Responsable del Proceso Dirección de Planeación
Aprobación Revisión Técnica
Firma:
Nombre: CARLOS ANDRES PRADA DURAN ANA MARÍA OCHOA VILLEGAS
Cargo: Director Técnico ( E ) Directora Técnica

Dirección de Tecnologías de la
Dependencia: Dirección de Planeación
Información y las Comunicaciones
Acta de Comité PGDIGITAL Nº 1 del 5 mayo 2022 Fecha publicación: 30 de junio de 2022
www.contraloriabogota.gov.co
Carrera 32 A N° 26 A - 10 - Código Postal 111321
PBX: 3358888 Página 1 de 33
Versión: 13.0
Versión: 3.0
JULIÁN MAURICIO RUÍZ RODRÍGUEZ

Contralor de Bogotá, D.C.
CARLOS ORLANDO ACUÑA RUÍZ

Contralor Auxiliar
ANA MARÍA OCHOA VILLEGAS

Directora Técnica de Planeación
CARLOS ANDRES PRADA DURAN

Director Técnico de Tecnologías de la Información y las Comunicaciones (E)
Bogotá, D.C., junio de 2022
TABLA DE CONTENIDO
Versión: 13.0
Versión: 3.0
INTRODUCCIÓN ..................................................................................................................... 4
OBJETIVO GENERAL ............................................................................................................ 4
OBJETIVOS ESPECÍFICOS ................................................................................................... 4
DECLARACIÓN DE APLICABILIDAD .................................................................................... 4
CONTROL DE CAMBIOS ..................................................................................................... 33
Versión: 13.0
Versión: 3.0
INTRODUCCIÓN
La Declaración de Aplicabilidad es el documento mediante el cual la Contraloría de Bogotá

D.C., define los controles de seguridad de la información aplicados por la entidad, en el
desarrollo del Sistema de Gestión Seguridad de la Información SGSI, éste se fundamenta en el
conjunto de controles y objetivos establecidos en el Anexo A de la Norma ISO/IEC 27001:2013.
OBJETIVO GENERAL
Definir los controles de seguridad de la información aplicados por la Contraloría de Bogotá D.C.,
en el marco del Sistema de Gestión de Seguridad de la Información – SGSI, así como los
procesos responsables de su gestión dentro de la entidad.
OBJETIVOS ESPECÍFICOS
 Establecer la aceptación o exclusión de los controles establecidos en el Anexo A de la

Norma ISO/IEC 27001:2013, para su implementación a través del Sistema de Seguridad
de la Información de la Contraloría de Bogotá D.C.
 Fortalecer la seguridad de la información en la Contraloría de Bogotá D.C., mediante la

aplicación de controles para la proteger la información institucional, buscando mantener
su integridad, confidencialidad y disponibilidad.
La presente declaración de aplicabilidad será revisada con base en los resultados de cada
nuevo proceso de valoración de riesgos y/o ante cambios significativos de la plataforma
tecnológica y/o de personal o cualquier otra que impacte el Sistema de Seguridad de la
Información de la Contraloría de Bogotá D.C.
Esta información, será sujeta de verificación en los procesos de revisión por el Comité PG-
DIGITAL o quien haga sus veces, cuando se requiera o en los periodos convenidos para su
actualización.
Versión: 13.0
Versión: 3.0
APLICABILIAD
Aplicabilidad
Dominio/Control 27001:2013 ACTIVIDAD / Responsables
del control POLÍTICAS DOCUMENTACION SIG
DOCUMENTO
A.5.1 - Orientación de la dirección para la gestión de la seguridad de la información
Control: Se debe definir
un conjunto de políticas DIRECCIONAMIENTO
para la seguridad de la ESTRATÉGICO
A.5.1.1 Políticas PGTI-16 POLÍTICAS DE
GESTIÓN DE
información, aprobada PDE-10 POLÍTICAS SEGURIDAD DE LA
para la seguridad SI RR 012 DE 2021
INSTITUCIONALES INFORMACIÓN Y
TECNOLOGÍAS DE LA
por la dirección, publicada INFORMACIÓN
de la información SEGURIDAD DIGITAL
5 - POLÍTICAS DE y comunicada a los GESTIÓN DE TALENTO
empleados y partes HUMANO
LA SEGURIDAD
externas pertinentes.
DE LA
Control: Las políticas para
INFORMACIÓN seguridad de la
DIRECCIONAMIENTO
ESTRATÉGICO
información se deben GESTIÓN DE
A.5.1.2 Revisión PGTI-16 POLÍTICAS DE
revisar a intervalos TECNOLOGÍAS DE LA
de las políticas PDE-10 POLÍTICAS SEGURIDAD DE LA
planificados o si ocurren SI RR 012 DE 2021
INSTITUCIONALES INFORMACIÓN Y
INFORMACIÓN
para la seguridad GESTIÓN DE TALENTO
cambios significativos, SEGURIDAD DIGITAL
de la información HUMANO
para asegurar su
COMITÉ PG-DIGITAL (o
conveniencia, adecuación
quien haga sus veces)
y eficacia continuas.
A.6.1 - Organización interna
Control: Se deben definir DIRECCIONAMIENTO
A.6.1.1 Roles y
y asignar todas las PDE-02 MANUAL DEL ESTRATÉGICO
responsabilidades R.R.046 DE 2019
responsabilidades de la SI R.R.031 DE 2019
SISTEMA INTEGRADO DE GESTIÓN TALENTO
para la seguridad GESTION-SIG HUMANO
seguridad de la
6. de la información GESTIÓN DE
información.
ORGANIZACIÓN TECNOLOGÍAS DE LA
INFORMACIÓN
DE LA
Control: Los deberes y
SEGURIDAD DE áreas de responsabilidad COMITÉ PG-DIGITAL
LA INFORMACIÓN en conflicto se deben (o quien haga sus veces)
separar para reducir las DIRECCIONAMIENTO
A.6.1.2. R.R.046 DE 2019 MANUAL DE FUNCIONES Y ESTRATÉGICO
posibilidades de
Separación de SI R.R.031 DE 2019 DE COMPETENCIAS GESTIÓN TALENTO
modificación no R.R. 003 DE 2021 LABORALES HUMANO
deberes
autorizada o no GESTIÓN DE
intencional, o el uso TECNOLOGÍAS DE LA
indebido de los activos de INFORMACIÓN
la organización.
Versión: 13.0
Versión: 3.0
Control: Se debe DIRECCIONAMIENTO
A.6.1.3. Contacto PDE-02 MANUAL DEL
mantener los contactos ESTRÁTEGICO
con las SI SISTEMA INTEGRADO DE
PARTICIPACIÓN
apropiados con las GESTION-SIG
autoridades CIUDADANA Y
autoridades pertinentes.
COMUNICACIÓN CON
PARTES INTERESADAS
Control: Se debe
mantener los contactos COMITÉ PG-DIGITAL
apropiados con grupos de (o quien haga sus veces)
A.6.1.4. Contacto interés especiales, otros DIRECCIONAMIENTO
PDE-02 MANUAL DEL
ESTRATÉGICO
con grupos de foros especializados en SI SISTEMA INTEGRADO DE
PARTICIPACIÓN
interés especial seguridad de la GESTION-SIG
CIUDADANA Y
información y COMUNICACIÓN CON
asociaciones de PARTES INTERESADAS
profesionales.
PDE-06 PROCEDIMIENTO
Control: La seguridad de PARA LA GESTIÓN DE LOS
A.6.1.5 Seguridad la información se debe DIRECCIONAMIENTO
PROYECTOS DE ESTRATÉGICO
de la información tratar en la gestión de INVERSIÓN
SI GESTIÓN DE
en gestión de proyectos, TECNOLOGÍAS DE LA
proyectos independientemente del PGTI-18 PROCEDIMIENTO
GESTIÓN DE PROYECTOS INFORMACIÓN
tipo de proyecto. CON COMPONENTE DE TI
A.6.2 Dispositivos móviles y teletrabajo

Control: Se debe adoptar 8.2. DISPOSITIVOS
una política y unas MÓVILES (PGTI-16 DIRECCIONAMIENTO
A.6.2.1 Política medidas de seguridad de POLÍTICAS DE ESTRATÉGICO
para dispositivos soporte, para gestionar SI SEGURIDAD DE LA GESTIÓN DE
móviles los riesgos introducidos INFORMACIÓN Y TECNOLOGÍAS DE LA
por el uso de dispositivos SEGURIDAD INFORMACIÓN
DIGITAL)
móviles.
Control: Se debe
implementar una política y
unas medidas de 7.2. TELETRABAJO
DIRECCIONAMIENTO
seguridad de soporte, (PGTI-16
ESTRATÉGICO
POLÍTICAS DE
para proteger la COMITÉ PG-DIGITAL
A.6.2.2 Teletrabajo SI R.R.014 DE 2019 SEGURIDAD DE LA
(o quien haga sus veces)
información a la que se INFORMACIÓN Y
tiene acceso, que es GESTIÓN TALENTO
SEGURIDAD
procesada o almacenada HUMANO
DIGITAL)
en los lugares en los que
se realiza teletrabajo.
Versión: 13.0
Versión: 3.0
A.7.1 Antes de asumir el empleo

Control: Las
verificaciones de los
antecedentes de todos los
candidatos a un empleo
se deben llevar a cabo de PGTH-04
acuerdo con las leyes, PROCEDIMIENTO GESTIÓN DE TALENTO
reglamentaciones y ética PROVISIÓN DE EMPLEOS HUMANO
A.7.1.1 Selección pertinentes, y deben ser SI VACANTES DE LA PLANTA GESTIÓN
proporcionales a los DE PERSONAL ADMINISTRATIVA Y
requisitos de negocio, a la PGAF-08 - GESTIÓN FINANCIERA
CONTRACTUAL
clasificación de la
información a que se va a
tener acceso, y a los
riesgos percibidos.
Control: Los acuerdos

contractuales con 7.9. PRIVACIDAD Y
PGTH-04
empleados y contratistas, PROCEDIMIENTO
A.7 SEGURIDAD CONFIDENCIALID
deben establecer sus PROVISIÓN DE EMPLEOS GESTIÓN DE TALENTO
A.7.1.2 Términos y AD (PGTI-16
DE LOS responsabilidades y las POLÍTICAS DE
VACANTES DE LA PLANTA HUMANO
RECURSOS condiciones del SI SEGURIDAD DE LA
DE PERSONAL GESTIÓN
de la organización en PGTH-04-13 ACUERDO DE ADMINISTRATIVA Y
empleo INFORMACIÓN Y
HUMANOS cuanto a la seguridad de CONFIDENCIALIDAD FINANCIERA
la información. SEGURIDAD
PGAF-08 - GESTIÓN
DIGITAL)
CONTRACTUAL
A.7.2 Durante la ejecución del empleo

Control: La dirección debe
exigir a todos los
empleados y contratistas
COMITÉ DIRECTIVO
la aplicación de la
A.7.2.1 PDE-02 MANUAL DEL COMITÉ PG-DIGITAL
seguridad de la
Responsabilidades SI SISTEMA INTEGRADO DE (o quien haga sus veces)
información de acuerdo GESTIÓN-SIG
de la dirección DIRECCIONAMIENTO
con las políticas y ESTRATÉGICO
procedimientos
establecidos por la
organización.
A.7.2.2 Toma de Control: Todos los GESTIÓN DE TALENTO
PGTH-11 PLAN
HUMANO
conciencia, empleados de la INSTITUCIONAL DE
SI CAPACITACIÓN - PIC
GESTIÓN DE
educación y organización, y en donde TECNOLOGÍAS DE LA
formación en la sea pertinente, los INFORMACIÓN
Versión: 13.0
Versión: 3.0
seguridad de la contratistas, deben recibir PGTI-14 GESTIÓN DE

información la educación y la CULTURA
formación en toma de ORGANIZACIONAL EN EL
SGSI
conciencia apropiada, y
actualizaciones regulares
sobre las políticas y
procedimientos
pertinentes para su cargo.
Control: Se debe contar
con un proceso 7.8. NO REPUDIO
disciplinario formal el cual (PGTI-16
debe ser comunicado, PGTH-20
POLÍTICAS DE
A.7.2.3 Proceso PROCEDIMIENTO PARA GESTIÓN DE TALENTO
para emprender acciones SI SEGURIDAD DE LA
EL TRÁMITE DEL HUMANO
disciplinario INFORMACIÓN Y
contra empleados hayan PROCESO DISCIPLINARIO
cometido una violación a SEGURIDAD
DIGITAL)
la seguridad de la
información.
A.7.3 Terminación o cambio de empleo
Control: Las
PGTH-10 RETIRO DEL
responsabilidades y los
SERVICIO DE LOS
deberes de seguridad de SERVIDORES PÚBLICOS
A.7.3.1 la información que GESTIÓN DE TALENTO
Terminación o permanecen validos PGTH-21 HUMANO
cambio de después de la terminación SI PROCEDIMIENTO GESTIÓN
responsabilidades o cambio de contrato se ENTREGA DEL PUESTO ADMINISTRATIVA Y
de empleo deben definir, comunicar DE TRABAJO FINANCIERA
al empleado o contratista
PGAF-08 GESTIÓN
y hacer cumplir. CONTRACTUAL
A.8.1 Responsabilidad por los activos

Control: Se debe
identificar los activos
asociados con la SERVIDOR 7.7. GESTIÓN DE
A.8 GESTIÓN DE información y las INSTITUCIONAL ACTIVOS (PGTI-16 PGD-08 PROCEDIMIENTO
DATACONTRABO POLÍTICAS DE PARA LA ACTUALIZACIÓN
ACTIVOS instalaciones de
A.8.1.1 Inventario SI G SEGURIDAD DE LA DE LOS INSTRUMENTOS GESTIÓN DOCUMENTAL
procesamiento de PLAN DE INFORMACIÓN Y DE GESTIÓN DE
de activos
información, y se deber PRESERVACION SEGURIDAD INFORMACIÓN PÚBLICA
elaborar y mantener un DIGITAL DIGITAL)
inventario de estos
activos.
Versión: 13.0
Versión: 3.0
PGD-08 PROCEDIMIENTO
PARA LA ACTUALIZACIÓN
7.7. GESTIÓN DE
DE LOS INSTRUMENTOS
Control: Los activos ACTIVOS (PGTI-16
DE GESTIÓN DE
POLÍTICAS DE
A.8.1.2 Propiedad mantenidos en el INFORMACIÓN PÚBLICA
SI SEGURIDAD DE LA
GESTIÓN DOCUMENTAL
de los activos inventario deben tener un INFORMACIÓN Y
propietario. PARA LA PRODUCCIÓN,
SEGURIDAD
ORGANIZACIÓN Y
DIGITAL)
CONSERVACIÓN DE
DOCUMENTOS
Control: Se debe
identificar, documentar e 8.6. USO DE LOS
implementar reglas para RECURSOS
GESTIÓN
el uso aceptable de TECNOLÓGICOS PGAF-10 -
A.8.1.3 Uso ADMINISTRATIVA Y
(PGTI-16 PROCEDIMIENTO PARA
información y de activos FINANCIERA
aceptable de los SI POLÍTICAS DE LA GESTIÓN DE BIENES
GESTIÓN DE
asociados con SEGURIDAD DE LA PROPIEDAD, PLANTA Y
activos TECNOLOGÍAS DE LA
información e INFORMACIÓN Y EQUIPO
instalaciones de INFORMACIÓN
SEGURIDAD
procesamiento de DIGITAL)
información.
PGAF-10 -
PROCEDIMIENTO PARA
LA GESTIÓN DE BIENES
PROPIEDAD, PLANTA Y
Control: Todos los EQUIPO
empleados y usuarios de PGAF-08 - GESTIÓN
partes externas deben GESTIÓN
CONTRACTUAL
ADMINISTRATIVA Y
A.8.1.4 Devolución devolver todos los activos PGTH-21
SI PROCEDIMIENTO
FINANCIERA
de activos de la organización que se GESTIÓN DE TALENTO
encuentren a su cargo, al ENTREGA DEL PUESTO
HUMANO
terminar su empleo, DE TRABAJO
PGTH-10
contrato o acuerdo. PROCEDIMIENTO PARA
EL RETIRO DEL SERVICIO
DE LOS SERVIDORES
PÚBLICOS
A.8.2 Clasificación de la información
Control: La información se TABLAS DE
debe clasificar en función RETENCIÓN 7.10. INTEGRIDAD
PGD -08
de los requisitos legales, DOCUMENTAL (PGTI-16
A.8.2.1 PROCEDIMIENTO PARA
CUADRO DE POLÍTICAS DE
valor, criticidad y LA ACTUALIZACIÓN DE
Clasificación de la SI CLASIFICACION SEGURIDAD DE LA
LOS INSTRUMENTOS DE
GESTIÓN DOCUMENTAL
susceptibilidad a DOCUMENTAL INFORMACIÓN Y
información GESTIÓN DE
divulgación o a SISTEMA SEGURIDAD
modificación no INFORMACIÓN PÚBLICA
INTEGRADO DE DIGITAL)
autorizada. CONSERVACIÓN
Versión: 13.0
Versión: 3.0
Control: Se debe
desarrollar e implementar
un conjunto adecuado de PGD -08
procedimientos para el PROCEDIMIENTO PARA
A.8.2.2 Etiquetado etiquetado de la LA ACTUALIZACIÓN DE
SI LOS INSTRUMENTOS DE
GESTIÓN DOCUMENTAL
de la información información, de acuerdo
con el esquema de GESTIÓN DE
clasificación de INFORMACIÓN PÚBLICA
información adoptado por
la organización.
PGD -08
PROCEDIMIENTO PARA
LA ACTUALIZACIÓN DE
LOS INSTRUMENTOS DE
GESTIÓN DE
INFORMACIÓN PÚBLICA
Control: Se debe PGTH-10
desarrollar e implementar PROCEDIMIENTO PARA GESTIÓN
procedimientos para el EL RETIRO DEL SERVICIO ADMINISTRATIVA Y
A.8.2.3 Manejo de manejo de activos, de DE LOS SERVIDORES FINANCIERA
SI PÚBLICOS GESTIÓN DOCUMENTAL
activos acuerdo con el esquema
de clasificación de PGTH-21 GESTIÓN DE TALENTO
información adoptado por PROCEDIMIENTO HUMANO
ENTREGA DEL PUESTO
la organización. DE TRABAJO
PGAF-10
PROCEDIMIENTO PARA
PROPIEDAD, PLANTA Y
EQUIPO
A.8.3. Manejo de medios

Control: Se debe
implementar SISTEMA
procedimientos para la PGTI-05 PROCEDIMIENTO
INTEGRADO DE
GESTIÓN DE RECURSOS GESTIÓN DE
A.8.3.1 Gestión de gestión de medios CONSERVACIÓN
SI PROGRAMA DE
Y SERVICIOS TECNOLOGÍAS DE LA
medios removibles removibles, de acuerdo TECNOLÓGICOS INFORMACIÓN
con el esquema de GESTIÓN
GESTIÓN DOCUMENTAL
clasificación adoptado por DOCUMENTAL
la organización.
PBX: 3358888 Página 10 de 33
Versión: 13.0
Versión: 3.0
PGTI-05 PROCEDIMIENTO
GESTIÓN DE RECURSOS
Y SERVICIOS
R.R.009 DE 2020 -
TECNOLÓGICOS
Control: Se debe disponer ESTRATEGIA GESTIÓN DE
PGAF-10
en forma segura de los CERO PAPEL TECNOLOGÍAS DE LA
PROCEDIMIENTO PARA
A.8.3.2 Disposición PLAN INFORMACIÓN
medios cuando ya no se SI INSTITUCIONAL
GESTIÓN
de los medios PROPIEDAD, PLANTA Y
requieran, utilizando DE GESTIÓN ADMINISTRATIVA Y
procedimientos formales. EQUIPO
AMBIENTAL – FINANCIERA
PGAF-16
PIGA
PROCEDIMIENTO
MANEJO INTEGRAL DE
RESIDUOS
PGTI-05 GESTIÓN DE
RECURSOS Y SERVICIOS
TECNOLÓGICOS
GESTIÓN DE SEGURIDAD
Control: Los medios que INFORMÁTICA Y LAS
TABLAS DE
contienen información se COMUNICACIONES
A.8.3.3 CONTROL DE GESTIÓN DE
deben proteger contra ACCESO TECNOLOGÍAS DE LA
Transferencia de SI HOJA DE
PARA LA ACTUALIZACION
INFORMACIÓN
acceso no autorizado, uso Y APLICACION DE TABLAS
medios físicos CONTROL DE GESTIÓN DOCUMENTAL
indebido o corrupción DE RETENCION
durante el transporte. ACCESO
DOCUMENTAL TRD
PARA LA PRODUCCIÓN,
ORGANIZACIÓN Y
CONSERVACIÓN DE
DOCUMENTOS
A.9.1 Requisitos del negocio para control de acceso
Control: Se debe 8.1. CONTROL DE

establecer, documentar y ACCESO LÓGICO
revisar una política de Y FÍSICO (PGTI-16
GESTIÓN DE
A.9.1.1 Política de POLÍTICAS DE
control de acceso con SI TECNOLOGÍAS DE LA
control de acceso SEGURIDAD DE LA
INFORMACIÓN
base en los requisitos del
A.9 CONTROL DE INFORMACIÓN Y
negocio y de seguridad de SEGURIDAD
ACCESO la información DIGITAL)
8.4. USO DE
Control: Solo se debe INTERNET Y
VPN (Virtual
A.9.1.2 Acceso a permitir acceso de los REDES SOCIALES PGTI-07 PROCEDIMIENTO GESTIÓN DE
Private Network -
redes y a servicios usuarios a la red y a los SI (PGTI-16 CONTROL DE ACCESO TECNOLOGÍAS DE LA
Red privada POLÍTICAS DE USUARIO INFORMACIÓN
en red servicios de red para los
virtual) SEGURIDAD DE LA
que hayan sido
INFORMACIÓN Y
PBX: 3358888 Página 11 de 33
Versión: 13.0
Versión: 3.0
autorizados SEGURIDAD
específicamente. DIGITAL)
A.9.2 Gestión de acceso de usuarios
PGTH-04
PROCEDIMIENTO
PROVISIÓN DE EMPLEOS
VACANTES DE LA PLANTA
DE PERSONAL
PGTH-02
PROCEDIMIENTO PARA
GESTIONAR
Control: Se debe GESTIÓN DE TALENTO
SITUACIONES
implementar un proceso HUMANO
A.9.2.1 Registro y ADMINISTRATIVAS
formal de registro y de GESTIÓN DE
PGTH-03
cancelación del TECNOLOGÍAS DE LA
cancelación de usuarios, SI PROCEDIMIENTO PARA
INFORMACIÓN
registro de MOVIMIENTOS DE
para posibilitar la GESTIÓN
usuarios PERSONAL
asignación de los ADMINISTRATIVA Y
PGTH-21
derechos de acceso. FINANCIERA
PROCEDIMIENTO
ENTREGA DEL PUESTO
DE TRABAJO
CONTROL DE ACCESO
USUARIOS
PGAF-08 GESTIÓN
CONTRACTUAL
PGTH-04
PROCEDIMIENTO
PROVISIÓN DE EMPLEOS
VACANTES DE LA PLANTA
Control: Se debe DE PERSONAL
implementar un proceso PGTH-02 GESTIÓN DE TALENTO
de suministro de acceso PROCEDIMIENTO PARA HUMANO
A.9.2.2 Suministro formal de usuarios para GESTIONAR GESTIÓN DE
SITUACIONES TECNOLOGÍAS DE LA
de acceso de asignar o revocar los SI ADMINISTRATIVAS INFORMACIÓN
usuarios derechos de acceso a PGTH-03 GESTIÓN
todo tipo de usuarios para PROCEDIMIENTO PARA ADMINISTRATIVA Y
todos los sistemas y MOVIMIENTOS DE FINANCIERA
servicios. PERSONAL
PGTH-21
PROCEDIMIENTO
ENTREGA DEL PUESTO
DE TRABAJO
PBX: 3358888 Página 12 de 33
Versión: 13.0
Versión: 3.0
CONTROL DE ACCESO
USUARIOS
PGAF-08 GESTIÓN
CONTRACTUAL
7.9.
PRIVACIDAD Y
CONFIDENCIALI
DAD (PGTI-16
A.9.2.3 Gestión de Control: Se debe restringir
POLÍTICAS DE PGTI-07 PROCEDIMIENTO GESTIÓN DE
derechos de y controlar la asignación y SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
SEGURIDAD DE USUARIOS INFORMACIÓN
acceso privilegiado uso de derechos de
LA
acceso privilegiado.
INFORMACIÓN
Y SEGURIDAD
DIGITAL)
A.9.2.4 Gestión de Control: La asignación de
información de la información secreta se PGTI-07 PROCEDIMIENTO GESTIÓN DE
autenticación debe controlar por medio SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
secreta de de un proceso de gestión USUARIOS INFORMACIÓN
usuarios formal.
Control: Los propietarios
A.9.2.5 Revisión de los activos deben PGTI-07 PROCEDIMIENTO GESTIÓN DE
de los derechos de revisar los derechos de SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
acceso de usuarios acceso de los usuarios, a USUARIOS INFORMACIÓN
intervalos regulares.
Control: Los derechos de PGTH-03

acceso de todos los PROCEDIMIENTO PARA
empleados y de usuarios MOVIMIENTOS DE
GESTIÓN DE TALENTO
externos a la información PERSONAL
HUMANO
A.9.2.6 Retiro o y a las instalaciones de PGTH-21
GESTIÓN DE
PROCEDIMIENTO
ajuste de los procesamiento de TECNOLOGÍAS DE LA
SI ENTREGA DEL PUESTO
INFORMACIÓN
derechos de información se deben DE TRABAJO
acceso retirar al terminar su GESTIÓN
empleo, contrato o ADMINISTRATIVA Y
CONTROL DE ACCESO
FINANCIERA
acuerdo, o se debe USUARIO
ajustar cuando se hagan PGAF-08 GESTIÓN
cambios. CONTRACTUAL
A.9.3 Responsabilidades de los usuarios

Control: Se debe exigir a 7.9. PRIVACIDAD Y PGTI-06 PROCEDIMIENTO GESTIÓN DE
A.9.3.1 Uso de la
los usuarios que cumplan SI CONFIDENCIALID GESTIÓN DE SEGURIDAD TECNOLOGÍAS DE LA
información de AD (PGTI-16 INFORMÁTICA Y LAS INFORMACIÓN
las prácticas de la
PBX: 3358888 Página 13 de 33
Versión: 13.0
Versión: 3.0
autenticación organización para el uso POLÍTICAS DE COMUNICACIONES

secreta de información de SEGURIDAD DE LA PGTI-07 PROCEDIMIENTO
autenticación secreta. INFORMACIÓN Y CONTROL DE ACCESO
SEGURIDAD USUARIOS
DIGITAL)
A.9.4 Control de acceso a sistemas y aplicaciones
Control: El acceso a la
información y a las
A.9.4.1 Restricción funciones de los sistemas PGTI-07 PROCEDIMIENTO GESTIÓN DE
de acceso de las aplicaciones se SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
Información debe restringir de acuerdo USUARIOS INFORMACIÓN
con la política de control
de acceso.
Control: Cuando lo PGTI-07 PROCEDIMIENTO
requiere la política de CONTROL DE ACCESO
control de acceso, el USUARIOS
A.9.4.2 PGTI-09 PROCEDIMIENTO GESTIÓN DE
acceso a sistemas y
Procedimiento de SI PARA LA ADQUISICIÓN, TECNOLOGÍAS DE LA
aplicaciones se debe DESARROLLO Y INFORMACIÓN
ingreso seguro
controlar mediante un MANTENIMIENTO DE
proceso de ingreso SISTEMAS DE
seguro. INFORMACIÓN
Control: Los sistemas de
A.9.4.3 Sistema gestión de contraseñas PGTI-07 PROCEDIMIENTO GESTIÓN DE
de gestión de deben ser interactivos y SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
contraseñas deben asegurar la calidad USUARIOS INFORMACIÓN
de las contraseñas
Control: Se debe restringir
y controlar estrictamente
A.9.4.4 Uso de
el uso de programas PGTI-07 PROCEDIMIENTO GESTIÓN DE
programas
utilitarios que pudieran SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
utilitarios USUARIOS INFORMACIÓN
tener capacidad de anular
privilegiados
el sistema y los controles
de las aplicaciones.
Control: Se deben
A.9.4.5 Control de
restringir el acceso a los PGTI-07 PROCEDIMIENTO GESTIÓN DE
acceso a códigos
códigos fuente de los SI CONTROL DE ACCESO TECNOLOGÍAS DE LA
fuente de USUARIOS INFORMACIÓN
programas.
programas
A.10.1 Controles criptográficos

A.10 Control: Se debe 7.3. CONTROLES
GESTIÓN DE
CRIPTOGRAFÍA A.10.1.1 Política CRIPTOGRÁFICOS
desarrollar e implementar SI (PGTI-16
TECNOLOGÍAS DE LA
sobre el uso de INFORMACIÓN
una política sobre el uso POLÍTICAS DE
PBX: 3358888 Página 14 de 33
Versión: 13.0
Versión: 3.0
controles de controles SEGURIDAD DE LA

criptográficos criptográficos para la INFORMACIÓN Y
protección de la SEGURIDAD
DIGITAL)
información.
Control: Se debe
desarrollar e implementar 7.3. CONTROLES
una política sobre el uso, CRIPTOGRÁFICOS
protección y tiempo de (PGTI-16
GESTIÓN DE
A.10.1.2 Gestión POLÍTICAS DE
vida de las llaves SI SEGURIDAD DE LA
TECNOLOGÍAS DE LA
de llaves INFORMACIÓN
criptográficas durante INFORMACIÓN Y
todo su ciclo de vida. SEGURIDAD
DIGITAL)
A.11.1 Áreas seguras

Control: Se debe definir y
usar perímetros de
seguridad, y usarlos para
GESTIÓN
A.11.1.1 Perímetro proteger áreas que
SI ADMINISTRATIVA Y
de seguridad física contengan información FINANCIERA
sensible o critica, e
instalaciones de manejo
de información.
Control: Las áreas
seguras se deben
proteger mediante
GESTIÓN
A.11.1.2 Controles controles de entrada
A.11 SEGURIDAD SI ADMINISTRATIVA Y
de Acceso físicos apropiados para asegurar FINANCIERA
FÍSICA Y DEL que solamente se permite
ENTORNO el acceso a personal
autorizado.
A.11.1.3 Seguridad Control: Se debe diseñar
GESTIÓN
de oficinas, y aplicar seguridad física
SI ADMINISTRATIVA Y
recintos e a oficinas, recintos e FINANCIERA
instalaciones instalaciones.
A.11.1.4 Control: Se debe diseñar PLAN DE GESTIÓN DE TALENTO

Protección contra y aplicar protección física PGAF-13
PREVENCIÓN, HUMANO
PROCEDIMIENTO
amenazas contra desastres SI PREPARACION Y
IDENTIFICACIÓN DE
GESTIÓN
externas y naturales, ataques RESPUESTA ANTE ADMINISTRATIVA Y
ASPECTOS AMBIENTALES
ambientales maliciosos o accidentes. EMERGENCIAS FINANCIERA
PBX: 3358888 Página 15 de 33
Versión: 13.0
Versión: 3.0
Control: Se debe diseñar GESTIÓN DE TALENTO

HUMANO
A.11.1.5 Trabajo y aplicar procedimientos
SI POLÍTICA SG-SST GESTIÓN
en áreas seguras para trabajo en áreas ADMINISTRATIVA Y
seguras. FINANCIERA
Control: Se debe controlar

los puntos de acceso tales
como áreas de despacho
y de carga, y otros puntos
en donde pueden entrar GESTIÓN
A.11.1.6 Áreas de
personas no autorizadas, SI ADMINISTRATIVA Y
despacho y carga FINANCIERA
y si es posible, aislarlos
de las instalaciones de
procesamiento de
información para evitar el
acceso no autorizado.
A.11.2 Equipos
Control: Los equipos
deben estar ubicados y
A.11.2.1 Ubicación protegidos para reducir GESTIÓN
y protección de los los riesgos de amenazas SI ADMINISTRATIVA Y
equipos y peligros del entorno, y FINANCIERA
las oportunidades para
acceso no autorizado.
Control: Los equipos se
deben proteger contra
GESTIÓN
A.11.2.2 Servicios fallas de energía y otras
SI ADMINISTRATIVA Y
de suministro interrupciones causadas FINANCIERA
por fallas en los servicios
de suministro.
Control: El cableado de
potencia y de
telecomunicaciones que PGTI-05 PROCEDIMIENTO
GESTIÓN DE
A.11.2.3 Seguridad porta datos o soporta GESTIÓN DE RECURSOS
SI Y SERVICIOS
TECNOLOGÍAS DE LA
del cableado servicios de información INFORMACIÓN
debe estar protegido TECNOLÓGICOS
contra interceptación,
interferencia o daño
A.11.2.4 Control: Los equipos se CRONOGRAMA PGTI-05 PROCEDIMIENTO GESTIÓN
DE GESTIÓN DE RECURSOS ADMINISTRATIVA Y
Mantenimiento de deberían mantener SI MANTENIMIENTO Y SERVICIOS FINANCIERA
equipos correctamente para ANUAL DE TECNOLÓGICOS GESTIÓN DE
PBX: 3358888 Página 16 de 33
Versión: 13.0
Versión: 3.0
asegurar su disponibilidad EQUIPOS DE PGAF-17 TECNOLOGÍAS DE LA

e integridad continuas. COMPUTO PROCEDIMIENTO PARA INFORMACIÓN
EL MANTENIMIENTO
INTEGRAL DE LOS
INMUEBLES Y MUEBLES
DE LA ENTIDAD
Control: Los equipos, PGAF-10
PROCEDIMIENTO PARA GESTIÓN
A.11.2.5 Retiro de información o software no
SI EL MANEJO Y CONTROL ADMINISTRATIVA Y
activos se deben retirar de su sitio DE ALMACÉN E FINANCIERA
sin autorización previa INVENTARIOS
Control: Se debe aplicar
medidas de seguridad a
los activos que se GESTIÓN
A.11.2.6 Seguridad encuentran fuera de las PGTI-05 PROCEDIMIENTO ADMINISTRATIVA Y
de equipos y instalaciones de la GESTIÓN DE RECURSOS FINANCIERA
SI Y SERVICIOS GESTIÓN DE
activos fuera de las organización, teniendo en
instalaciones cuenta los diferentes TECNOLÓGICOS TECNOLOGÍAS DE LA
riesgos de trabajar fuera INFORMACIÓN
de dichas instalaciones.
Control: Se debe verificar

todos los elementos de
equipos que contengan PGTI-05 PROCEDIMIENTO
medios de GESTIÓN DE RECURSOS
GESTIÓN
A.11.2.7 almacenamiento, para Y SERVICIOS
ADMINISTRATIVA Y
TECNOLÓGICOS
Disposición segura asegurar que cualquier FINANCIERA
SI PGAF-10
GESTIÓN DE
o reutilización de dato sensible o software PROCEDIMIENTO PARA
equipos con licencia haya sido TECNOLOGÍAS DE LA
EL MANEJO Y CONTROL
retirado o sobrescrito en INFORMACIÓN
DE ALMACÉN E
forma segura antes de su INVENTARIOS
disposición o reutilización.
8.9. USO DE
DISPOSITIVOS
PROPIOS DE
Control: Los usuarios CONFIGURACION FUNCIONARIOS O
A.11.2.8. Equipos deben asegurarse de que EN SERVIDOR CONTRATISTAS GESTIÓN DE
de usuario a los equipos SI CENTRAL - (PGTI-16 TECNOLOGÍAS DE LA
desatendidos desatendidos se les dé BLOQUEO DE POLÍTICAS DE INFORMACIÓN
protección apropiada. SESIÓN SEGURIDAD DE LA
INFORMACIÓN Y
SEGURIDAD
DIGITAL)
PBX: 3358888 Página 17 de 33
Versión: 13.0
Versión: 3.0
Control: Se debe adoptar

una política de escritorio 8.3. ESCRITORIO Y
limpio para los papeles y PANTALLA
medios de LIMPIOS (PGTI-16
A.11.2.9 Política GESTIÓN DE
almacenamiento POLÍTICAS DE
de escritorio limpio SI SEGURIDAD DE LA
TECNOLOGÍAS DE LA
removibles, y una política INFORMACIÓN
y pantalla limpia INFORMACIÓN Y
de pantalla limpia en las
instalaciones de SEGURIDAD
DIGITAL)
procesamiento de
información.
A.12.1 Procedimientos operacionales y responsabilidades
Control: Los
procedimientos de PGD-02 PROCEDIMIENTO
A.12.1.1 TODOS LOS PROCESOS
operación se deben PARA MANTENER LA
RELACIONADOS EN
Procedimientos de INFORMACIÓN
documentar y poner a SI DOCUMENTADA DEL
ROLES Y
operación RESPONSABILIDADES
disposición de todos los SISTEMA INTEGRADO DE
documentados DEL SIG
usuarios que los GESTIÓN - SIG
necesiten.
Control: Se deben
controlar los cambios en
la organización, en los
A.12 SEGURIDAD procesos de negocio, en PGTI-08 PROCEDIMIENTO
GESTIÓN DE
DE LAS A.12.1.2 Gestión las instalaciones y en los PARA LA GESTIÓN
SI CAMBIOS Y CAPACIDAD
TECNOLOGÍAS DE LA
OPERACIONES de cambios sistemas de INFORMACIÓN
procesamiento de TECNOLÓGICA
información que afectan
la seguridad de la
información.
Control: Para asegurar el

desempeño requerido del
sistema se debe hacer
seguimiento al uso de los PGTI-08 PROCEDIMIENTO
GESTIÓN DE
A.12.1.3 Gestión PARA LA GESTIÓN
recursos, hacer los SI CAMBIOS Y CAPACIDAD
TECNOLOGÍAS DE LA
de capacidad INFORMACIÓN
ajustes, y hacer TECNOLÓGICA
proyecciones de los
requisitos sobre la
capacidad futura.
PBX: 3358888 Página 18 de 33
Versión: 13.0
Versión: 3.0
Control: Se deben
separar los ambientes de PGTI-09 PROCEDIMIENTO
A.12.1.4
desarrollo, prueba y PARA LA ADQUISICIÓN,
Separación de los GESTIÓN DE
operación, para reducir DESARROLLO Y
ambientes de SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
los riesgos de acceso o INFORMACIÓN
desarrollo, pruebas SISTEMAS DE
cambios no
y operación INFORMACIÓN
autorizados al ambiente
de operación.
A.12.2 Protección contra códigos maliciosos
Control: Se deben
implementar controles de
detección, de prevención
A.12.2.1 Controles y de recuperación, PGTI-06 PROCEDIMIENTO
HERRAMIENTAS GESTIÓN DE
contra códigos combinados con la toma SI DE ANTIVIRUS Y
INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
maliciosos de conciencia apropiada FIREWALL INFORMACIÓN
COMUNICACIONES
de los usuarios, para
proteger contra códigos
maliciosos.
A.12.3 Copias de respaldo
7.4. COPIAS DE
Control: Se deben hacer
RESPALDO Y 8.7.
copias de respaldo de la POLÍTICA DE
información, del software GESTIÓN DE
e imágenes de los PGTI-03 PROCEDIMIENTO
ALMACENAMIENT GESTIÓN DE
A.12.3.1 Respaldo PARA LA REALIZACIÓN Y
sistemas, y ponerlas a SI O (PGTI-16
CONTROL DE COPIAS DE
TECNOLOGÍAS DE LA
de información POLÍTICAS DE INFORMACIÓN
prueba regularmente de RESPALDO
acuerdo con una política SEGURIDAD DE LA
INFORMACIÓN Y
de copias de respaldo
SEGURIDAD
aceptada. DIGITAL)
A.12.4 Registro y seguimiento
Control: Se debe
elaborar, conservar y
revisar regularmente los INFORMES
PGTI-08 PROCEDIMIENTO GESTIÓN DE
A.12.4.1 Registro registros acerca de TRIMESTRALES
SI DE SEGURIDAD
DE GESTIÓN CAMBIOS Y TECNOLOGÍAS DE LA
de eventos actividades del usuario, CAPACIDAD INFORMACIÓN
excepciones, fallas y LÓGICA
eventos de seguridad de
la información.
A.12.4.2 Control: Las instalaciones y
la información de registro PGTI-07 PROCEDIMIENTO GESTIÓN DE
Protección de la
se deben proteger contra SI DE CONTROL DE ACCESO TECNOLOGÍAS DE LA
información de alteración y acceso no USUARIOS INFORMACIÓN
registro autorizado.
PBX: 3358888 Página 19 de 33
Versión: 13.0
Versión: 3.0
Control: Las actividades

del administrador y del
A.12.4.3 Registros operador del sistema se PGTI-06 PROCEDIMIENTO
GESTIÓN DE
del administrador y deben registrar, y los SI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
del operador registros se deben INFORMACIÓN
COMUNICACIONES
proteger y revisar con
regularidad.
Control: Los relojes de

todos los sistemas de
procesamiento de CONFIGURACIÓN
información pertinentes EN SERVIDOR
A.12.4.4 GESTIÓN DE
dentro de una CENTRAL -
sincronización de SI SINCRONIZACIÓN
TECNOLOGÍAS DE LA
organización o ámbito de INFORMACIÓN
relojes HORA LEGAL
seguridad se deberían
sincronizar con una única SERVIDORES
fuente de referencia de
tiempo.
A.12.5 Control de software operacional

Control: Se deben DE REGISTRO Y
A.12.5.1 ATENCIÓN DE
implementar
Instalación de REQUERIMIENTOS DE GESTIÓN DE
procedimientos para
software en SI SOPORTE TECNOLOGÍAS DE LA
controlar la instalación de PGTI-05 PROCEDIMIENTO INFORMACIÓN
sistemas
software en sistemas DE GESTIÓN DE
operativos
operativos. RECURSOS Y SERVICIOS
TECNOLÓGICOS
A.12.6 Gestión de la vulnerabilidad técnica
Control: Se debe obtener
oportunamente
información acerca de las
vulnerabilidades técnicas
A.12.6.1 Gestión de los sistemas de PGTI-06 PROCEDIMIENTO
GESTIÓN DE
de las información que se usen; INFORME DE GESTIÓN DE SEGURIDAD
SI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
vulnerabilidades evaluar la exposición de la VULNERABILIDADES
INFORMACIÓN
técnicas organización a estas COMUNICACIONES
vulnerabilidades, y tomar
las medidas apropiadas
para tratar el riesgo
asociado.
PBX: 3358888 Página 20 de 33
Versión: 13.0
Versión: 3.0
GESTIÓN DE RECURSOS
Y SERVICIOS
TECNOLÓGICOS
Control: Se deben PGTI-04 PROCEDIMIENTO
A.12.6.2 REGISTRO Y ATENCIÓN
establecer e implementar GESTIÓN DE
Restricciones DE REQUERIMIENTOS DE
las reglas para la SI SOPORTE A LOS
TECNOLOGÍAS DE LA
sobre la instalación INFORMACIÓN
instalación de software SISTEMAS DE
de software
por parte de los usuarios. INFORMACIÓN Y EQUIPOS
INFORMÁTICOS
DE CONTROL DE ACCESO
A USUARIOS
A.12.7 Consideraciones sobre auditorias de sistemas de información
Control: Los requisitos y
actividades de auditoría PGTI-09 PROCEDIMIENTO
que involucran la PARA LA ADQUISICIÓN,
A.12.7.1 DESARROLLO Y
verificación de los
Información MANTENIMIENTO DE GESTIÓN DE
sistemas operativos se
controles de SI SISTEMAS DE TECNOLOGÍAS DE LA
deben planificar y acordar INFORMACIÓN INFORMACIÓN
auditoría de
cuidadosamente para PGTI-08 PROCEDIMIENTO
sistemas
minimizar las DE GESTIÓN CAMBIOS Y
interrupciones en los CAPACIDAD
procesos del negocio.
A.13.1 Gestión de la seguridad de las redes
Control: Las redes se
deben gestionar y PGTI-06 PROCEDIMIENTO
GESTIÓN DE
A.13.1.1 Controles controlar para proteger la SI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
de redes información en sistemas y INFORMACIÓN
COMUNICACIONES
aplicaciones.
Control: Se deben
A.13 SEGURIDAD identificar los
DE LAS mecanismos de
COMUNICACIONES seguridad, los niveles de
servicio y los requisitos de PGTI-06 PROCEDIMIENTO
A.13.1.2 Seguridad GESTIÓN DE
gestión de todos los CATALOGO DE GESTIÓN DE SEGURIDAD
de los servicios de SI SERVICIOS DE TI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
servicios de red, e INFORMACIÓN
red COMUNICACIONES
incluirlos en los acuerdos
de servicios de red, ya
sea que los servicios se
presten internamente o se
contraten externamente.
PBX: 3358888 Página 21 de 33
Versión: 13.0
Versión: 3.0
Control: Los grupos de

A.13.1.3 servicios de información, PGTI-06 PROCEDIMIENTO
GESTIÓN DE
Separación en las usuarios y sistemas de SI INFORMÁTICA Y LAS
TECNOLOGÍAS DE LA
redes información se deben INFORMACIÓN
COMUNICACIONES
separar en las redes.
A.13.2 Transferencia de información
Control: Se debe contar
7.13.
con políticas, TRANSFERENCIA
procedimientos y DE LA
A.13.2.1 Políticas y controles de transferencia GESTIÓN DOCUMENTAL
INFORMACIÓN
procedimientos de formales para proteger la (PGTI-16
SI POLÍTICAS DE
GESTIÓN DE
transferencia de transferencia de TECNOLOGÍAS DE LA
información información mediante el SEGURIDAD DE LA
INFORMACIÓN
uso de todo tipo de INFORMACIÓN Y
SEGURIDAD
instalaciones de DIGITAL)
comunicación.
7.13.
Control: Los acuerdos TRANSFERENCIA
GESTIÓN DE
deben tener en cuenta la CLÁUSULAS DE DE LA
TECNOLOGÍAS DE LA
A.13.2.2 Acuerdos transferencia segura de CUMPLIMIENTO INFORMACIÓN
INFORMACIÓN
INCLUIDAS (PGTI-16
sobre transferencia información del negocio SI DENTRO DE LOS POLÍTICAS DE
de información entre la organización y las GESTION
CONTRATOS CON SEGURIDAD DE LA
partes externas. ADMINISTRATIVA Y
PROVEEDORES INFORMACIÓN Y
FINANCIERA
SEGURIDAD
DIGITAL)
8.5. USO CORREO
AVISO LEGAL
ELECTRONICO
Control: Se debe proteger (DISCLAIMER)
A.13.2.3 (PGTI-16
INCLUIDO DESDE GESTIÓN DE
adecuadamente la POLÍTICAS DE
Mensajería SI EL SERVIDOR
SEGURIDAD DE LA
TECNOLOGÍAS DE LA
información incluida en la CENTRAL EN INFORMACIÓN
electrónica INFORMACIÓN Y
mensajería electrónica. CORREOS
SEGURIDAD
ELECTRONICOS
DIGITAL)
Control: Se debe
identificar, revisar
regularmente y 7.9. PRIVACIDAD Y
documentar los requisitos CONFIDENCIALID GESTIÓN DE TALENTO
CLÁUSULAS DE
A.13.2.4 Acuerdos para los acuerdos de AD (PGTI-16 HUMANO
CONFIDENCIALID
POLÍTICAS DE PGTH-04-13 ACUERDO DE
de confidencialidad confidencialidad o no SI AD INCLUIDAS
SEGURIDAD DE LA CONFIDENCIALIDAD GESTIÓN
o de no divulgación divulgación que reflejen DENTRO DE LOS
INFORMACIÓN Y ADMINISTRATIVA Y
las necesidades de la CONTRATOS
SEGURIDAD FINANCIERA
organización para la DIGITAL)
protección de la
información.
PBX: 3358888 Página 22 de 33
Versión: 13.0
Versión: 3.0
A.14.1.1 Requisitos de seguridad de los sistemas de información

Control: Los requisitos 8.8. USO DE LOS
relacionados con SISTEMAS O
A.14.1.1 Análisis y seguridad de la HERRAMIENTAS PGTI-09 PROCEDIMIENTO
especificación de información se deben DE INFORMACIÓN PARA LA ADQUISICIÓN,
GESTIÓN DE
(PGTI-16 DESARROLLO Y
requisitos de incluir en los requisitos SI POLÍTICAS DE MANTENIMIENTO DE
TECNOLOGÍAS DE LA
seguridad de la para nuevos sistemas de INFORMACIÓN
SEGURIDAD DE LA SISTEMAS DE
información. información o para INFORMACIÓN Y INFORMACIÓN
mejoras a los sistemas de SEGURIDAD
información existentes. DIGITAL)
Control: La información
involucrada en los
servicios de aplicaciones
A.14.1.2 Seguridad que pasan sobre redes CERTIFICADO SSL
GESTIÓN DE
de servicios de las públicas se debe proteger IMPLEMENTADO
SI PARA EL SITIO
TECNOLOGÍAS DE LA
aplicaciones en de actividades INFORMACIÓN
redes publicas fraudulentas, disputas WEB E INTRANET
contractuales y
divulgación y modificación
A.14 no autorizadas.
ADQUISICIÓN, Control: La información
involucrada en las
DESARROLLO Y
transacciones de los
MANTENIMIENTO servicios de las
S DE SISTEMAS aplicaciones se debe
A.14.1.3
proteger para evitar la CERTIFICADO SSL
Protección de GESTIÓN DE
transmisión incompleta, el IMPLEMENTADO
transacciones de SI PARA EL SITIO
TECNOLOGÍAS DE LA
enrutamiento errado, la INFORMACIÓN
los servicios de las WEB E INTRANET
alteración no autorizada
aplicaciones
de mensajes, la
divulgación no autorizada,
y la duplicación o
reproducción de
mensajes no autorizada.
A.14.2 Seguridad en los procesos de desarrollo y soporte
Control: Se debe 7.5. DESARROLLO
establecer y aplicar reglas SEGURO (PGTI-16
A.14.2.1 Política PARA LA ADQUISICIÓN,
POLÍTICAS DE GESTIÓN DE
para el desarrollo de DESARROLLO Y
de desarrollo SI SEGURIDAD DE LA
MANTENIMIENTO DE
TECNOLOGÍAS DE LA
software y de sistemas, a INFORMACIÓN Y INFORMACIÓN
seguro SISTEMAS DE
los desarrollos que se dan SEGURIDAD
dentro de la organización. INFORMACIÓN
DIGITAL)
PBX: 3358888 Página 23 de 33
Versión: 13.0
Versión: 3.0
Control: Los cambios a los PGTI-08 GESTIÓN

sistemas dentro del ciclo CAMBIOS Y CAPACIDAD
A.14.2.2 PGTI-09 PROCEDIMIENTO
de vida de desarrollo se GESTIÓN DE
Procedimientos de PARA LA ADQUISICIÓN,
deben controlar mediante SI DESARROLLO Y
TECNOLOGÍAS DE LA
control de cambios INFORMACIÓN
el uso de procedimientos MANTENIMIENTO DE
en sistemas
formales de control de SISTEMAS DE
cambios. INFORMACIÓN
Control: Cuando se
cambian las plataformas PGTI-08 GESTIÓN
A.14.2.3 Revisión
de operación, se deben CAMBIOS Y CAPACIDAD
técnica de las
revisar las aplicaciones PGTI-09 PROCEDIMIENTO
aplicaciones GESTIÓN DE
críticas del negocio, y PARA LA ADQUISICIÓN,
después de SI DESARROLLO Y
TECNOLOGÍAS DE LA
ponerlas a prueba para INFORMACIÓN
cambios en la MANTENIMIENTO DE
asegurar que no haya
plataforma de SISTEMAS DE
impacto adverso en las
operación INFORMACIÓN
operaciones o seguridad
de la organización.
Control: Se debe
desalentar las PGTI-08 GESTIÓN
A.14.2.4 modificaciones a los CAMBIOS Y CAPACIDAD
Restricciones en paquetes de software, PGTI-09 PROCEDIMIENTO
GESTIÓN DE
PARA LA ADQUISICIÓN,
los cambios a los que se deben limitar a los SI DESARROLLO Y
TECNOLOGÍAS DE LA
paquetes de cambios necesarios, y INFORMACIÓN
MANTENIMIENTO DE
software todos los cambios se SISTEMAS DE
deben controlar INFORMACIÓN
estrictamente.
Control: Se debe
establecer, documentar y
mantener principios para PGTI-09 PROCEDIMIENTO
A.14.2.5 Principios la construcción de PARA LA ADQUISICIÓN,
GESTIÓN DE
DESARROLLO Y
de construcción de sistemas seguros, y SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
sistemas seguros aplicarlos a cualquier INFORMACIÓN
SISTEMAS DE
actividad de INFORMACIÓN
implementación de
sistemas de información.
Control: Las
organizaciones deben PGTI-09 PROCEDIMIENTO
establecer y proteger PARA LA ADQUISICIÓN,
A.14.2.6 Ambiente GESTIÓN DE
adecuadamente los DESARROLLO Y
de desarrollo SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
ambientes de desarrollo INFORMACIÓN
seguro SISTEMAS DE
seguros para las tareas
de desarrollo e INFORMACIÓN
integración de sistemas
PBX: 3358888 Página 24 de 33
Versión: 13.0
Versión: 3.0
que comprendan todo el

ciclo de vida de desarrollo
de sistemas.
Control: La organización PGTI-09 PROCEDIMIENTO

debe supervisar y hacer PARA LA ADQUISICIÓN,
A.14.2.7 Desarrollo GESTIÓN DE
seguimiento de la DESARROLLO Y
contratado SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
actividad de desarrollo de INFORMACIÓN
externamente SISTEMAS DE
sistemas contratados
externamente. INFORMACIÓN
Control: Durante el PGTI-09 PROCEDIMIENTO

A.14.2.8 Pruebas desarrollo se deben llevar PARA LA ADQUISICIÓN,
GESTIÓN DE
DESARROLLO Y
de seguridad de a cabo pruebas de SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
sistemas funcionalidad de la INFORMACIÓN
SISTEMAS DE
seguridad INFORMACIÓN
Control: Para los sistemas

de información nuevos, PGTI-09 PROCEDIMIENTO
actualizaciones y nuevas PARA LA ADQUISICIÓN,
A.14.2.9 Prueba de GESTIÓN DE
versiones, se deberían DESARROLLO Y
aceptación de SI MANTENIMIENTO DE
TECNOLOGÍAS DE LA
establecer programas de INFORMACIÓN
sistemas SISTEMAS DE
prueba para aceptación y
criterios de aceptación INFORMACIÓN
relacionados.
A.14.3 Datos de prueba
Control: Los datos de PARA LA ADQUISICIÓN,
A.14.3.1 prueba se deben DESARROLLO Y GESTIÓN DE
Protección de seleccionar, proteger y SI MANTENIMIENTO DE TECNOLOGÍAS DE LA
datos de prueba controlar SISTEMAS DE INFORMACIÓN
cuidadosamente. INFORMACIÓN.
PBX: 3358888 Página 25 de 33
Versión: 13.0
Versión: 3.0
A.15.1 Seguridad de la información en las relaciones con los proveedores

Control: Los requisitos de
7.6. RELACIONES
seguridad de la CON LOS
A.15.1.1 Política información para mitigar GESTIÓN
PROVEEDORES
de seguridad de la los riesgos asociados con PGAF-08 ADMINISTRATIVA Y
(PGTI-16
PROCEDIMIENTO PARA FINANCIERA
información para el acceso de proveedores SI POLÍTICAS DE
LA GESTIÓN GESTIÓN DE
las relaciones con a los activos de la SEGURIDAD DE LA
CONTRACTUAL TECNOLOGÍAS DE LA
proveedores organización se deben INFORMACIÓN Y
INFORMACIÓN
SEGURIDAD
acordar con estos y se
DIGITAL)
deben documentar.
Control: Se debe
establecer y acordar
todos los requisitos de
seguridad de la
A.15.1.2 información pertinentes
Tratamiento de la con cada proveedor que PGAF-08
GESTIÓN
PROCEDIMIENTO PARA
seguridad dentro pueda tener acceso, SI LA GESTIÓN
ADMINISTRATIVA Y
de los acuerdos procesar, almacenar, FINANCIERA
CONTRACTUAL
con proveedores comunicar o suministrar
componentes de
A.15 RELACIÓN infraestructura de TI para
CON LOS la información de la
PROVEEDORES organización.
Control: Los acuerdos con
proveedores deben incluir
requisitos para tratar los
A.15.1.3 Cadena
riesgos de seguridad de la PGAF-08
de suministro de GESTIÓN
información asociados PROCEDIMIENTO PARA
tecnología de SI LA GESTIÓN
ADMINISTRATIVA Y
con la cadena de FINANCIERA
información y CONTRACTUAL
suministro de productos y
comunicación
servicios de tecnología de
información y
comunicación.
A.15.2 Gestión de la prestación de servicios con los proveedores

Control: Las
A.15.2.1 organizaciones deben
Seguimiento y hacer seguimiento, PGAF-08
GESTIÓN
PROCEDIMIENTO PARA
revisión de los revisar y auditar con SI LA GESTIÓN
ADMINISTRATIVA Y
servicios de los regularidad la prestación FINANCIERA
CONTRACTUAL
proveedores de servicios de los
proveedores.
PBX: 3358888 Página 26 de 33
Versión: 13.0
Versión: 3.0
Control: Se debe
gestionar los cambios en
el suministro de servicios
por parte de los
proveedores, incluido el
mantenimiento y la
mejora de las políticas, PGAF-08
GESTIÓN
A.15.2.2 Gestión procedimientos y PROCEDIMIENTO PARA
ADMINISTRATIVA Y
LA GESTIÓN
de cambios en los controles de seguridad de FINANCIERA
SI CONTRACTUAL
GESTIÓN DE
servicios de la información existentes,
proveedores teniendo en cuenta la TECNOLOGÍAS DE LA
PGTI-08 GESTIÓN
criticidad de la INFORMACIÓN
CAMBIOS Y CAPACIDAD
información, sistemas y
procesos del negocio
involucrados, y la
revaloración de los
riesgos.
A.16.1 Gestión de incidentes y mejoras en la seguridad de la información

Control: Se debe 7.11. GESTIÓN DE
COMITÉ PG-DIGITAL
establecer las INCIDENTES DE
(o quien haga sus veces)
responsabilidades y SEGURIDAD DE LA
DIRECCIONAMIENTO
A.16.1.1 procedimientos de INFORMACIÓN
PDE-02 MANUAL DEL ESTRATÉGICO
R.R.046 DE 2019 (PGTI-16
Responsabilidades gestión para asegurar una SI R.R.031 DE 2019 POLÍTICAS DE
SISTEMA INTEGRADO DE GESTIÓN TALENTO
y procedimientos respuesta rápida, eficaz y GESTION-SIG HUMANO
SEGURIDAD DE LA
A.16 GESTIÓN DE ordenada a los incidentes GESTIÓN DE
INFORMACIÓN Y
TECNOLOGÍAS DE LA
INCIDENTES DE de seguridad de la SEGURIDAD
INFORMACIÓN
SEGURIDAD DE información. DIGITAL)
LA INFORMACIÓN PGTI-04 REGISTRO Y
Control: Los eventos de ATENCIÓN DE
seguridad de la REQUERIMIENTOS DE
A.16.1.2 Reporte SOPORTE A LOS
información se deben GESTIÓN DE
de eventos de SISTEMAS DE
informar a través de los SI INFORMACIÓN Y EQUIPOS
TECNOLOGÍAS DE LA
seguridad de la INFORMACIÓN
canales de gestión INFORMÁTICOS
información
apropiados, tan pronto PGTI-10 PROCEDIMIENTO
como sea posible. GESTIÓN INCIDENTES DE
SEGURIDAD
PBX: 3358888 Página 27 de 33
Versión: 13.0
Versión: 3.0
Control: Se debe exigir a

todos los empleados y
PGTI-04 REGISTRO Y
contratistas que usan los ATENCIÓN DE
servicios y sistemas de REQUERIMIENTOS DE
A.16.1.3 Reporte información de la SOPORTE A LOS
GESTIÓN DE
de debilidades de organización, que SISTEMAS DE
SI INFORMACIÓN Y EQUIPOS
TECNOLOGÍAS DE LA
seguridad de la observen e informen INFORMACIÓN
información cualquier debilidad de INFORMÁTICOS
seguridad de la PGTI-10 PROCEDIMIENTO
GESTIÓN INCIDENTES DE
información observada o SEGURIDAD
sospechada en los
sistemas o servicios.
PGTI-04 REGISTRO Y
A.16.1.4 Control: Los eventos de ATENCIÓN DE
Evaluación de seguridad de la REQUERIMIENTOS DE
eventos de información se deben SOPORTE A LOS
GESTIÓN DE
SISTEMAS DE
seguridad de la evaluar y se deben decidir SI INFORMACIÓN Y EQUIPOS
TECNOLOGÍAS DE LA
información y si se van a clasificar como INFORMACIÓN
INFORMÁTICOS
decisiones sobre incidentes de seguridad PGTI-10 PROCEDIMIENTO
ellos de la información. GESTIÓN INCIDENTES DE
SEGURIDAD
Control: Se debe dar
A.16.1.5
respuesta a los incidentes
Respuesta a PGTI-10 PROCEDIMIENTO GESTIÓN DE
de seguridad de la
incidentes de SI GESTIÓN INCIDENTES DE TECNOLOGÍAS DE LA
información de acuerdo SEGURIDAD INFORMACIÓN
seguridad de la
con procedimientos
información
documentados.
PGTI-04 REGISTRO Y
Control: El conocimiento ATENCIÓN DE
A.16.1.6 adquirido al analizar y REQUERIMIENTOS DE
Aprendizaje resolver incidentes de SOPORTE A LOS
GESTIÓN DE
obtenido de los seguridad de la SISTEMAS DE
SI INFORMACIÓN Y EQUIPOS
TECNOLOGÍAS DE LA
incidentes de información se debe usar INFORMACIÓN
seguridad de la para reducir la posibilidad INFORMÁTICOS
información o el impacto de incidentes PGTI-10 PROCEDIMIENTO
GESTIÓN INCIDENTES DE
futuros. SEGURIDAD
Control: La organización
debe definir y aplicar
A.16.1.7 procedimientos para la PGTI-10 PROCEDIMIENTO GESTIÓN DE
Recolección de identificación, recolección, SI GESTIÓN INCIDENTES DE TECNOLOGÍAS DE LA
evidencia adquisición y preservación SEGURIDAD INFORMACIÓN
de información que pueda
servir como evidencia.
PBX: 3358888 Página 28 de 33
Versión: 13.0
Versión: 3.0
A.17.1 Continuidad de seguridad de la información

PGTI-19 ANÁLISIS
debe determinar sus 7.14.
DE IMPACTO AL
requisitos para la CONTINUIDAD DE
NEGOCIO – BIA
A.17.1.1 seguridad de la OPERACIÓN
PGTI -15 PLAN DE
Planificación de la información y la INSTITUCIONAL COMITÉ PG-DIGITAL
CONTINGENCIA
(PGTI-16 (o quien haga sus veces)
continuidad de la continuidad de la gestión SI DE TIC
POLÍTICAS DE DIRECCIONAMIENTO
seguridad de la de la seguridad de la PLAN DE
SEGURIDAD DE LA ESTRATÉGICO
información información en PREVENCIÓN,
INFORMACIÓN Y
PREPARACIÓN Y
situaciones adversas, por SEGURIDAD
RESPUESTA ANTE
ejemplo, durante una DIGITAL)
EMERGENCIAS
crisis o desastre.
PGTI-19 ANÁLISIS 8.10. USO DE
debe establecer,
DE IMPACTO AL HERRAMIENTAS
documentar, implementar NEGOCIO – BIA OFIMATICAS Y COMITÉ PG-DIGITAL
A.17.1.2 y mantener procesos, PGTI -15 PLAN DE COLABORATIVAS (o quien haga sus veces)
Implementación de procedimientos y CONTINGENCIA EN ENTORNOS DIRECCIONAMIENTO
A.17 ASPECTOS la continuidad de la controles para SI DE TIC VUCA (PGTI-16 ESTRATÉGICO
PLAN DE POLÍTICAS DE GESTION DE
DE SEGURIDAD seguridad de la asegurar el nivel de
PREVENCIÓN, SEGURIDAD DE LA TECNOLOGÍAS DE LA
información continuidad requerido
DE LA PREPARACIÓN Y INFORMACIÓN Y INFORMACIÓN
para la seguridad de la
INFORMACIÓN DE información durante una
RESPUESTA ANTE SEGURIDAD
LA GESTIÓN DE EMERGENCIAS DIGITAL)
situación adversa.
CONTINUIDAD DE Control: La organización
NEGOCIO PGTI-19 ANÁLISIS
debe verificar a intervalos
DE IMPACTO AL
A.17.1.3 regulares los controles de NEGOCIO – BIA COMITÉ PG-DIGITAL
Verificación, continuidad de la PDE-07 PROCEDIMIENTO
PGTI -15 PLAN DE (o quien haga sus veces)
revisión y seguridad de la PARA LA
CONTINGENCIA DIRECCIONAMIENTO
ADMINISTRACION
evaluación de la información SI DE TIC
INTEGRAL DE LOS
ESTRATÉGICO
continuidad de la establecidos e PLAN DE GESTION DE
RIESGOS
seguridad de la implementados, con el fin PREVENCIÓN, TECNOLOGÍAS DE LA
INSTITUCIONALES
PREPARACIÓN Y INFORMACIÓN
información de asegurar que son
RESPUESTA ANTE
válidos y eficaces durante EMERGENCIAS
situaciones adversas.
A.17.2 Redundancias
Control: Las instalaciones
A.17.2.1 de procesamiento de PROYECTO PETI GESTIÓN
Disponibilidad de información se deben 2022 - DISEÑO DE ADMINISTRATIVA Y
UN CENTRO DE FINANCIERA
instalaciones de implementar con SI DATOS ALTERNO GESTIÓN DE
procesamiento de redundancia suficiente SEDE SAN TECNOLOGÍAS DE LA
información. para cumplir los requisitos CAYETANO INFORMACIÓN
de disponibilidad.
PBX: 3358888 Página 29 de 33
Versión: 13.0
Versión: 3.0
A.18.1 Cumplimiento de requisitos legales y contractuales
Control: Todos los

requisitos estatutarios,
reglamentarios y
contractuales pertinentes,
A.18.1.1
y el enfoque de la
Identificación de la MARCO LEGAL
organización para DIRECCIONAMIENTO
legislación INCLUIDO EN LA
cumplirlos, se deben SI DOCUMENTACION
ESTRATÉGICO
aplicable y de los TODOS LOS PROCESOS
identificar y documentar DEL SGSI Y SIG
requisitos
explícitamente y
contractuales
mantenerlos actualizados
para cada sistema de
información y para la
organización.
Control: Se debe
implementar
procedimientos PGTI-05 PROCEDIMIENTO
apropiados para asegurar GESTIÓN DE RECURSOS
A.18 el cumplimiento de los Y SERVICIOS
A.18.1.2 Derechos requisitos legislativos, de TECNOLÓGICOS
CUMPLIMIENTO PGTI-09 PROCEDIMIENTO
GESTIÓN DE
de propiedad reglamentación y SI PARA LA ADQUISICIÓN,
TECNOLOGÍAS DE LA
intelectual contractuales INFORMACIÓN
DESARROLLO Y
relacionados con los MANTENIMIENTO DE
derechos de propiedad SISTEMAS DE
intelectual y el uso de INFORMACIÓN
productos de software
patentados.
Control: Los registros se PARA LA ACTUALIZACIÓN
Y APLICACIÓN DE TABLAS
deben proteger contra
DE RETENCIÓN
perdida, destrucción, DOCUMENTAL TRD
falsificación, acceso no PGD -08
A.18.1.3 autorizado y liberación no GESTIÓN DOCUMENTAL
TABLAS DE PROCEDIMIENTO PARA
GESTIÓN DE
Protección de autorizada, de acuerdo SI CONTROL DE LA ACTUALIZACIÓN DE
TECNOLOGÍAS DE LA
registros con los requisitos ACCESO LOS INSTRUMENTOS DE
INFORMACIÓN
legislativos, de GESTIÓN DE
INFORMACIÓN PÚBLICA
reglamentación,
contractuales y de PARA LA REALIZACIÓN Y
negocio. CONTROL DE COPIAS DE
RESPALDO
PBX: 3358888 Página 30 de 33
Versión: 13.0
Versión: 3.0
Control: Cuando sea

aplicable, se debe 7.9. PRIVACIDAD Y
asegurar la privacidad y la CONFIDENCIALID
A.18.1.4 AD (PGTI-16
protección de la
Privacidad y POLÍTICAS DE PDE-10 POLÍTICAS DIRECCIONAMIENTO
información de datos SI R.R.012 DE 2019
SEGURIDAD DE LA INSTITUCIONALES ESTRATÉGICO
protección de
personales, como se INFORMACIÓN Y
datos personales
exige en la legislación y la SEGURIDAD
reglamentación DIGITAL)
pertinentes
7.3. CONTROLES
Control: se debe usar CRIPTOGRÁFICOS
A.18.1.5 controles criptográficos, (PGTI-16
GESTIÓN DE
Reglamentación de en cumplimiento de todos POLÍTICAS DE
SI SEGURIDAD DE LA
TECNOLOGÍAS DE LA
controles los acuerdos, legislación y INFORMACIÓN
criptográficos reglamentación INFORMACIÓN Y
pertinentes SEGURIDAD
DIGITAL)
A.18.2 Revisiones de seguridad de la información

Control: El enfoque de la
organización para la
gestión de la seguridad de
la información y su
implementación (es decir,
los objetivos de control,
A.18.2.1 Revisión los controles, las políticas, PEM-03 PROCEDIMIENTO
PROGRAMA
PARA AUDITORÍA
independiente de los procesos y los ANUAL DE
SI AUDITORÍAS
INTERNA AL SISTEMA EVALUACION Y MEJORA
la seguridad de la procedimientos para INTEGRADO DE GESTIÓN -
información seguridad de la INTERNAS PAAI
SIG
información) se deben
revisar
independientemente a
intervalos planificados o
cuando ocurran cambios
significativos.
Control: Los directores
deben revisar con
A.18.2.2
regularidad el
Cumplimiento con
cumplimiento del PDE-08 REVISIÓN POR LA DIRECCIONAMIENTO
las políticas y SI DIRECCIÓN ESTRATÉGICO
procesamiento y
normas de
procedimientos de
seguridad
información dentro de su
área de responsabilidad,
PBX: 3358888 Página 31 de 33
Versión: 13.0
Versión: 3.0
con las políticas y normas

de seguridad apropiadas,
y cualquier otro requisito
de seguridad.
Control: Los sistemas de GESTIÓN DE SEGURIDAD
información se deben INFORMÁTICA Y LAS
revisar periódicamente COMUNICACIONES
A.18.2.3 Revisión GESTIÓN DE
para determinar el INDICADORES
del cumplimiento SI PGTI-09 ADQUISICIÓN,
TECNOLOGÍAS DE LA
cumplimiento con las DEL SGSI INFORMACIÓN
técnico DESARROLLO Y
políticas y normas de
seguridad de la MANTENIMIENTO DE
SISTEMAS DE
información. INFORMACIÓN
PBX: 3358888 Página 32 de 33
Versión: 13.0
Versión: 3.0
CONTROL DE CAMBIOS
Versión R.R., Acta1 y Fecha Descripción de la Modificación

Acta No.5
1.0 Comité SIGEL Versión Inicial
19-dic-2018
Acta No.2
Actualización de los responsables de la implementación de
2.0 Comité PG-DIGITAL
los controles y ajuste de estos a los nombres de procesos.
11-jun-2020
Actualización de los responsables de la implementación de
Acta No.1
los controles, ajuste de estos a los nombres de procesos y
3.0 Comité PG-DIGITAL
se clasifica la aplicabilidad del control así: Actividad /
05-may-2022
Documento; Políticas; Documentación SIG
4.0
1Registrar Acta con el nombre del Comité y su correspondiente N° y fecha, si se adoptó por resolución reglamentaria igual se registra su
N° y fecha.
PBX: 3358888 Página 33 de 33

PGTI-13 Declaración de Aplicabilidad V3.0

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PGTI-13 Declaración de Aplicabilidad V3.0

Cargado por

Copyright:

Formatos disponibles

Código formato: PGD-02-02

Responsable del Proceso Dirección de Planeación

Aprobación Revisión Técnica

Nombre: CARLOS ANDRES PRADA DURAN ANA MARÍA OCHOA VILLEGAS

Cargo: Director Técnico ( E ) Directora Técnica

JULIÁN MAURICIO RUÍZ RODRÍGUEZ

CARLOS ORLANDO ACUÑA RUÍZ

ANA MARÍA OCHOA VILLEGAS

CARLOS ANDRES PRADA DURAN

Bogotá, D.C., junio de 2022

OBJETIVO GENERAL ............................................................................................................ 4

OBJETIVOS ESPECÍFICOS ................................................................................................... 4

DECLARACIÓN DE APLICABILIDAD .................................................................................... 4

CONTROL DE CAMBIOS ..................................................................................................... 33

La Declaración de Aplicabilidad es el documento mediante el cual la Contraloría de Bogotá

 Establecer la aceptación o exclusión de los controles establecidos en el Anexo A de la

 Fortalecer la seguridad de la información en la Contraloría de Bogotá D.C., mediante la

A.6.2 Dispositivos móviles y teletrabajo

A.7.1 Antes de asumir el empleo

Control: Los acuerdos

A.7.2 Durante la ejecución del empleo

seguridad de la contratistas, deben recibir PGTI-14 GESTIÓN DE

A.8.1 Responsabilidad por los activos

A.8.3. Manejo de medios

A.9.1 Requisitos del negocio para control de acceso

Control: Se debe 8.1. CONTROL DE

A.9.2 Gestión de acceso de usuarios

Control: Los derechos de PGTH-03

A.9.3 Responsabilidades de los usuarios

autenticación organización para el uso POLÍTICAS DE COMUNICACIONES

A.10.1 Controles criptográficos

controles de controles SEGURIDAD DE LA

A.11.1 Áreas seguras

A.11.1.4 Control: Se debe diseñar PLAN DE GESTIÓN DE TALENTO

Control: Se debe diseñar GESTIÓN DE TALENTO

Control: Se debe controlar

asegurar su disponibilidad EQUIPOS DE PGAF-17 TECNOLOGÍAS DE LA

Control: Se debe verificar

Control: Se debe adoptar

A.12.1 Procedimientos operacionales y responsabilidades

Control: Para asegurar el

Control: Las actividades

Control: Los relojes de

A.12.5 Control de software operacional

Control: Los grupos de

A.14.1.1 Requisitos de seguridad de los sistemas de información

Control: Los cambios a los PGTI-08 GESTIÓN

que comprendan todo el

Control: La organización PGTI-09 PROCEDIMIENTO

Control: Durante el PGTI-09 PROCEDIMIENTO

Control: Para los sistemas

A.14.3 Datos de prueba

A.15.1 Seguridad de la información en las relaciones con los proveedores

A.15.2 Gestión de la prestación de servicios con los proveedores

A.16.1 Gestión de incidentes y mejoras en la seguridad de la información

Control: Se debe exigir a

A.17.1 Continuidad de seguridad de la información

A.18.1 Cumplimiento de requisitos legales y contractuales

Control: Todos los

Control: Cuando sea

A.18.2 Revisiones de seguridad de la información

con las políticas y normas

Versión R.R., Acta1 y Fecha Descripción de la Modificación